IBM Tivoli Security Solutions System & Security Information Management Giuseppe Clerici Software Group - Tivoli Technical Sales © IBM Corporation 2009 IBM Tivoli Security Solutions TCIM Giuseppe Clerici Software Group - Tivoli Technical Sales © IBM Corporation 2009 IBM Tivoli Security Solutions Cosa aiutiamo a fare per la tematica PUMA Privileged User Monitoring and Audit Richieste da parte dell’IT e Business management: Siamo in grado di controllare se esistono manipolazioni di info sensibili? Possiamo verificare le attività degli outsourcers? Possiamo ottenere segnalazioni a fronte di attività non autorizzate? Riusciamo a dimostrare la validità della segregation of duties? Possiamo investigare su quanto accaduto in modo tempestivo? Richieste da parte degli auditor: Vengono tracciati e visionati i log di applicazioni, database, S.O. e device? Le attività dei system administrator, DBA e system operator sono tracciate nei log e sono verificate in maniera regolare? Sono tracciati gli accessi a dati sensibili – incluso root/administration e i DBA – nei vari log? Esistono dei tool automatici per i processi di audit? Gli incidenti di sicurezza e le attività sospette sono analizzate al fine di intraprendere delle azioni correttive? 3 IBM Tivoli Security Solutions Log management: Cosa è necessario rilevare Categoria Descrizione Eventi di autenticazione Eventi di logon / logoff Eventi di gestione Start di server, stop, back-up, restore Change management Modifiche di configurazione, modifiche sui processi di auditing, modifiche sulla struttura dei database, attività di manutenzione Gestione utenze Creazione di nuove utenze, modifica dei privilegi utente, attività di cambio password Diritti di accesso Comportamento di tutti i DBA includendo gli accessi ai dati, DBCC (Database Console Command), call a stored procedure Accesso ai dati sensibili Tutti gli accessi ai dati sensibili immagazzinati nei database e quindi operazioni di: select, insert, update, delete 4 IBM Tivoli Security Solutions La normativa: Il garante obbliga le aziende a gestire i log degli amministratori di sistema GARANTE PER LA PROTEZIONE DEI DATI PERSONALI PROVVEDIMENTO 27 novembre 2008 MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI EFFETTUATI CON STRUMENTI ELETTRONICI RELATIVAMENTE ALLE ATTRIBUZIONI DELLE FUNZIONI DI AMMINISTRATORE DI SISTEMA (Pubblicato sulla G.U. n. 300 del 24-12-2008 ) HINTS 9 È la prima volta che sono esplicitati obblighi per la gestione dei log in sicurezza per tutte le aziende 9 Impatti pervasivi per la sicurezza dei Sistemi Informativi dovuti alla definizione di “Amministratore di sistema” molto ampia 9 Richiede misure organizzative, tecnologiche e procedurali 9 Tempi di adozione molto stretti – 120 gg dal 24 dicembre 2008 5 P o ugn i G ga a o r o r IBM Tivoli Security Solutions La normativa: Il provvedimento prevede di svolgere le seguenti attività Valutazione delle caratteristiche soggettive: esperienza, capacità, affidabilità del soggetto designato Designazioni individuali: elencazione degli ambiti di operatività in base al profilo Elenco degli Amministratori di Sistema allegato al DPS Informativa interna specifica sulla identità degli Amministratori di Sistema Conservazione degli estremi degli ammministratori per i servizi in outsourcing Verifica annuale delle attività degli Amministratori di Sistema Registrazione degli accessi Adozione di sistemi di registrazione idonei Qualifiche dei log: completezza, inalterabilità e possibilità di verifica integrità Contenuti: descrizione evento, riferimento temporale, archiviazione non inferiore a sei mesi 6 IBM Tivoli Security Solutions La soluzione proposta da IBM Servizi consulenziali per: Asse valutare lo “stato dell’arte” del cliente rispetto alla normativa e sviluppare il piano di rientro Definire la gestione di “ruoli e profili” Piattaforma software per: la verifica periodica dell’attività degli amministratori “Tivoli Compliance Insight Manager” (TCIM) garantire l’archiviazione sicura dell’attività degli amministratori “System Storage Archive Manager” (SSAM) la gestione “automatizzata” di ruoli e profili “Tivoli Identity Management” (TIM) hardening dell’accesso ai log “Tivoli Access Manager for OS” (TAMOS) - “ISS Proventia” TIM Gestione automatizzata dei Ruoli e dei Profili TCIM Centralizzazione dei log Audit & Compliance Verifica attività amministratori L SSAM Sorgente TAMOS - ISS Proventia 7 Conservazione e Protezione dei dati Sistema di archiviazione sicura Controllo e restrizioni per l’accesso ai log IBM Tivoli Security Solutions IBM Tivoli Compliance Insight Manager Portal 8 IBM Tivoli Security Solutions Le tre C del TCIM: Capture, Comprehend, Communicate TCIM TCIM 9 IBM Tivoli Security Solutions Le tre C del TCIM: Capture – Enterprise Log Management Funzionalità: Centralizzazione sicura ed affidabile di log da numerose piattaforme Raccolta automatica dei syslogs Supporto su attività di raccolta di eventi da log nativi Memorizzazione efficiente ed in modalità compressa dei dati Possibilità di query e definizione di report custom oltre a quelli offerti nativamente Benefici: Riduzione dei costi grazie all’automatizzazione e centralizzazione delle attività di raccolta dei dati Garanzia di una costante condizione di “audit ready” 10 IBM Tivoli Security Solutions Le tre C del TCIM: Capture – Log Continuity Report Controllo automatico che evidenzia la continuità e la completezza del processo di log management 11 IBM Tivoli Security Solutions Le tre C del TCIM: Comprehend – Verifica delle attività degli utenti 87% 87%degli degliincidenti incidentiinterni internisono sonocausati causatida dautenti utentiprivilegiati. privilegiati. 12 IBM Tivoli Security Solutions Le tre C del TCIM: Comprehend – Normalizzazione dei log Windows z/OS AIX Oracle SAP ISS FireWall-1 Exchange IIS Solaris Traduzione dei logs in “Formato Unico” 1. Who 2. What 3. On What 4. When 5. Where 6. Where From 7. To Where Tivoli Compliance Insight Manager TCIM TCIMstoricizza storicizzaleleinformazioni informazionididisecurity securityeecompliance complianceottimizzando ottimizzandoi itempi tempi ed i costi attraverso l’automatizzazione dei processi di monitoraggio aziendale ed i costi attraverso l’automatizzazione dei processi di monitoraggio aziendale 13 IBM Tivoli Security Solutions TCIM - event sources supportati Applications: Servers: IBM AIX Audit logs IBM AIX syslog IBM OS/400 & i5/OS journals Tivoli Identity Manager Tivoli Access Manager for OS and for e-Business Tivoli Federated Identity Manager on: AIX, Solaris, Windows, Red Hat ES, SUSE, HPUX Tivoli Directory Server on: AIX, Solaris, Windows, HPUX, Red Hat, SUSE Hewlett-Packard HP-UX Audit logs SAP R/3 on Windows, Solaris, AIX, HP-UX Hewlett-Packard HP-UX syslog mySAP Hewlett-Packard NonStop (Tandem) Misys OPICS Hewlett-Packard OpenVMS BMC Identity Manager Hewlett-Packard Tru64 CA eTrust (Netegrity) SiteMinder Microsoft Windows RSA Authentication Server Novell Netware Microsoft Exchange Novell NSure Audit IBM Lotus Domino Server on Windows Novell Audit Microsoft Internet Information server Novell Suse Linux SUN iPlanet Web Server on Solaris Devices: Cisco Router Hewlett-Packard ProCurve Switch Blue Coat Systems ProxySG Series Check Point Firewall-1 Cisco PIX Cisco VPN Concentrator (3000 series) Symantec (Raptor) Enterprise Firewall ISS RealSecure ISS System Scanner ISS SiteProtector McAfee IntruShield IPS Manager McAfee ePolicy Orchestrator Snort IDS Symantec Antivirus RedHat Linux Stratus VOS Supported databases: TrendMicro ScanMail for Domino SUN Solaris BSM Audit logs IBM DB2 on z/OS TrendMicro ScanMail for MS Exchange SUN Solaris syslog IBM DB2 on Windows, Solaris, AIX, HPUX, Linux TrendMicro ServerProtect for Windows IBM DB2 / UDB on Windows, Solaris, AIX Microsoft SQL Server application logs Mainframe: Microsoft SQL Server trace files IBM z/OS + RACF Oracle DBMS on Windows, AIX, Solaris, HP-UX IBM z/OS + CA ACF2 Oracle DBMS FGA on Windows, AIX, Solaris, HP-UX IBM z/OS + CA Top Secret Sybase ASE on Windows, AIX, Solaris, HP-UX CA Top Secret for VSE/ESA IBM Informix Dynamic Server on Windows, AIX, Solaris and HPUX + TCIM CAN COLLECT FROM VIRTUALLY ANY EVENT SOURCE + Listed above are the event sources for which we have developed W7 mapping + Addditional mappers can be developed as needed based on customer requirements 14